[Dicas-L] Snort + ACID + MySql no Slackware

Started by insanity, 11 de September , 2006, 03:14:17 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

insanity

11 de September , 2006, 03:14:17 PM
Snort + ACID + MySql no Slackware
 =================================

Colaboração: Fred I. de Oliveira

O SNORT é um NIDS (Network Intrusion Detection System). È usado para detectar invasões em sua rede, analisando protocolos e conteúdo de pacotes.

O ACID (Analisys Console for Intrusion Databases) é usado para analisar os logs do SNORT e apresenta-los em uma intarface WEB.


       Pré-Requisitos
       ==============

- Sistema Operacional Linux (Slackware 10.2 Kernel 2.6.13)
- Servidor Web Apache
- Interpretador PHP4
- MySQL

Caso os pacotes acima ainda não estejam instalados, você pode fazer download dos pacotes no site http://www.linuxpackages.net ou usar o CD 1 de instalação.


       Instalação
       ==========

Agora entre no site http://www.snort.org/dl/ e faça o download do arquivo de instalação do SNORT, a versão atual é a 2.6.

Agora descompacte o arquivo:


 # tar xzvf snort-2.6.0.tar.gz
 # cd snort-2.6


Agora vamos compilar o snort com suporte ao MySql.


 # ./configure  with-mysql=/usr
 # make
 # make install


Se tudo correu bem seu Snort está instalado, mas ainda faltam alguns ajustes.
Crie uma pasta chamada  rules  no /etc:


 # mkdir /etc/rules


Para baixar as rules entre no site http://www.snort.org/pub-bin/downloads.cgi
Após o download descompacte o arquivo na pasta /etc/rules


 # tar xzvf snortrules-*.tar.gz
 # mv snortrules-*/* /etc/rules/


       Base de dados do SNORT
       ======================

Primeiro é necessário criarmos a base de dados que será usada para armazenar o registro dos ataques, e um usuário que terá permissão para adicionar esses registros na database.


 # mysql  u root  p

 mysql> create database snort;
 mysql> grant all privileges on snort.*
        to snort@localhost identified by  12345 ;
 mysql> quit

Agora iremos criar as tabelas na database para o funcionamento do SNORT. Entre no diretório onde o snort foi descompactado e execute o comando abaixo:


 # mysql  u root  p snort < schemas/create_mysql



       Configuração do SNORT
       =====================

O arquivo de configuração do SNORT encontra-se na pasta /etc. Você deverá editá-lo de acordo com suas necessidades. Alguns campos devem ser alterados obrigatoriamente, para isso siga as instruções abaixo:


 # vi snort.conf


Agora altere o campo var HOME_NET para o IP da máquina ou rede que irá monitorar, e também o campo var DNS_SERVERS para o endereço do seu DNS, evitando assim que o SNORT crie alertas com os acessos vindos do mesmo.

Procure a linha abaixo e deixe-a descomentada.


 output database: log, mysql, user=snort password=12345
                   dbname=snort host=localhost

Essa linha faz com que todos os logs do SNORT sejam gravados no banco de dados para que posteriormente sejam mostrados pelo ACID.

Feito isso salve e saia do arquivo ( :wq! )


       Configuração do ACID
       ====================

Você pode encontrar o ACID para download no site http://www.cert.org/kb/acid.
A versão atual disponível para download é a 0.9.6b23.

Também é necessário baixar o ADODB para o perfeito funcionamento do ACID. O download pode ser feito no link http://prdownloads.sourceforge.net/adod ... irror=ufpr

Após o download do arquivo descompacte-o na pasta /var/www/htdocs


 # tar xzvf acid-0.9.6b23.tar.gz -C /var/www/htdocs


Descompacte o adodb dentro da pasta acid.


 # tar xzvf adodb491.tgz -C /var/www/htdocs/acid


Agora entre na pasta criada e edite o arquivo acid_conf.php


 # cd /var/www/htdocs/acid/
 # vi acid_conf.php

Agora altere os campos abaixo:


 $DBlib_path = "/var/www/htdocs/acid/adodb";

 $alert_dbname = "snort";
 $alert_host = "localhost";
 $alert_port = "";
 $alert_user = "snort";
 $alert_password = "12345";

Os próximos passos da configuração serão feitas pelo seu navegador. Abra um navegador de sua preferência e entre no endereço http://localhost/acid

Depois de abrir o endereço acima, clique no link Setup Page, depois disso ele estará pronto para o uso :)


       Iniciando e Testando o Snort
       ============================

Para iniciar o Snort digite a linha de comando abaixo:


 # /usr/local/bin/snort -D


Para testa-lo, entre em algum outro computador e tente varrer as portas abertas no servidor onde está o SNORT.

Supondo que a máquina onde o SNORT está rodando tenha o IP 10.21.0.4 vou usar a máquina 10.21.0.5 para varrer as portas:


 # nmap 10.21.0.4


Agora na máquina 10.21.0.4 entre no seu navegador e entre no endereço http://localhost/acid

Se durante a instalação tudo correu bem e o snort foi iniciado sem erros, ele irá apresentar as tentativas de invasão.

Espero que o Artigo seja de bom proveito para a comunidade.

Fred I. de Oliveira <>, Porto Velho/RO
Print
Go Up Pages1
User actions